O programa malicioso Conficker, também conhecido como Downadup ou Kido, foi descoberto pela primeira vez em Outubro de 2008, porém peritos advertem que ele ainda está se espalhando por pendrives e computadores sem atualizações de segurança.
A BBC consultou vários especialistas em segurança e estes informaram que o worm ainda continua a infectar computadores em todo o mundo e que semana passada foi descoberta uma nova variação do worm. A Microsoft informou que o Worm já infectou mais de 9 milhões de PCs no mundo, sendo o maior número deles na China, Brasil, Rússia e Índia.
Segundo a Microsoft, o worm trabalha procurando por um arquivo executável chamado “Services.exe” e torna-se parte do código. Em seguida faz uma cópia do arquivo no diretório Windows System com nome aleatório e extensão “dll” e modifica o registro do Windows para executar o arquivo dll infectado como um serviço.
Uma vez que o worm está instalado e funcionando, ele cria um servidor HTTP, reseta os pontos de restauraução do sistema (o que torna mais difícil a recuperação do sistema infectado), e em seguida, transfere os arquivos dos sites hackers. A maioria dos malwares utilizam sites pré-determinados para fazer o download de arquivos, o que os tornam fáceis de localizar, mas o Conficker trabalha de forma diferente, ele utiliza um complexo algoritmo para gerar centenas de nomes de domínio diferente a cada dia, tornando praticamente impossível rastrear o site de onde será feito o download.
Como se prevenir
Para evitar que o worm Conficker infecte seu computador você precisa manter seu antivírus atualizado e desativar o recurso “AutoRun”. Porém antes você precisa baixar manualmente a atualização para Windows XP , XP64 e Windows 2000 que corrige o desativamento do AutoRun no registro do Windows. Os usuários do Windows Vista podem pular esse passo, pois essa correção foi inserida nas atualizações automáticas.
Após baixar a atualização, instalá-la e reiniciar o computador, desative o AutoRun seguindo os passos abaixo:
- Acesse o menu Iniciar > Executar, digite gpedit.msc e clique em OK
- Em Diretivas de grupo acesse o item Configuração do Computador > Modelos Administrativos
- Abra o item Sistema (no Windows Vista abra o item Componentes do Windows)
- Encontre o item “Desativar AutoExecutar”, clique com o botão direito nele, marque a opção “Ativado”, selecione a opção “Todas as unidades”, clique em OK e reinicie o computador.
É importante ressaltar que a desativação do AutoRun o Windows não previne a contaminação por pendrive infectado ou por rede, para evitar esse tipo de infecção deve se manter o antivírus sempre atualizado.
Como verificar se o computador está infectado
O computador apresenta alguns sintomas quando está infectado pelo Conficker.
- As diretivas de bloqueio de conta estão sendo ultrapassadas.
- Atualizações Automáticas, Serviço de Transferência Inteligente em Segundo Plano (BITS), Windows Defender e Error Reporting Services estão desabilitados.
- Os controladores de domínio respondem lentamente a solicitações de cliente.
- A rede está congestionada.
- Vários sites relacionados à segurança não estão acessíveis.
Se você já estiver contaminado deve usar a ferramenta de Remoção de Software Mal-intencionado, ou removê-lo manualmente seguindo as instruções no site da Microsoft
Fonte: Microsoft, BBC
Fonte: Microsoft, BBC
Nenhum comentário:
Postar um comentário